Ataque con troyano para usuarios de Mac


Detectada diversas variantes de un troyano destinado a usuarios de Mac. De momento se ha detectado únicamente hospedado en páginas de contenido pornográfico, a través de las cuales intentan engañar a los usuarios para que se instalen el troyano.





Se trata de un ataque dirigido a usuarios de Windows y Mac desde páginas con supuestos vídeos pornográficos. Para atraer a las potenciales víctimas, las direcciones de las webs que contienen los troyanos han sido anunciadas a través de spam, incluyendo el envío de los enlaces a varios foros de usuarios de Mac.

Cuando el usuario visita una de las páginas y selecciona visualizar uno de los vídeos, el servidor web detecta si el sistema es un Windows o Mac a través del user-agent del navegador. En función de ese dato, la página web intentará que el usuario se instale la versión del troyano para Windows (extensión .exe) o para Mac (extensión .dmg).

La estrategia de los atacantes consiste en hacer creer al usuario que necesita instalar un componente adicional, un codec, para poder visualizar el vídeo. El usuario de Mac tendrá que introducir la contraseña de administrador para proceder a la instalación del troyano, si bien muchos podrían hacerlo creyendo que es necesario para instalar el componente que les permitirá ver el deseado vídeo.

Una vez el troyano se instala lleva a cabo su cometido, que no es otro que modificar los servidores DNS del sistema para que apunten a unos nuevos que están bajo el dominio de los atacantes. Estos servidores DNS llevarían a cabo un ataque del tipo pharming, ya que pueden redireccionar ciertos dominios, como el de algunas entidades bancarias, a servidores que hospedan phishing con el fin de sustraer las credenciales de acceso de las víctimas.

La detección antivirus es de momento escasa, normal si tenemos en cuenta que el malware suele ser, en la práctica, un terreno de Windows, en incluso muchas casas antivirus no tienen soluciones para Mac. Las diversas variantes a las que tenemos acceso en Hispasec hasta el momento son detectadas por ninguno, uno, o a lo máximo dos productos antivirus, entre los que se encuentra Sophos que lo identifica con el nombre de "OSX/RSPlug-A" y Mcafee como "OSX/Pupe".

La recomendación obvia a los usuarios de Mac es que no instalen ningún software de fuentes no confiables y, dado este caso en concreto, especialmente desconfíen de cualquier web de contenido adulto que les incite a instalar un supuesto codec de vídeo.

Aunque el ataque también se dirige a usuarios de Windows, que es lo común, la noticia es que se hayan molestado en desarrollar una versión del troyano específica para los usuarios de Mac. Hasta la fecha la mayoría del malware para Mac era anecdótico, pruebas de concepto o laboratorio, que realmente no tenían una repercusión significativa entre los usuarios de Mac. En esta ocasión estamos ante un caso real de malware funcional desarrollado por atacantes que han fijado, como parte de sus objetivos, el fraude online a usuarios de Mac.

¿Caso puntual o el comienzo de una nueva era en lo que respecta al malware para Mac?

Más información y ejemplos de las webs que distribuyen el troyano pueden encontrarse en el blog del laboratorio de Hispasec:
http://blog.hispasec.com/laboratorio/250

Fuente:
Por Bernardo Quintero
http://www.hispasec.com



Otras noticias de interés:

INTECO-CERT publica curso: Formación online sobre Firma Electrónica
INTECO amplía su oferta de formación online con la publicación del Curso de Introducción a la firma electrónica, está enfocado a todo tipo de usuarios....
Cuatro boletines de Microsoft en julio, todos importante
El martes 8 de julio, Microsoft pondrá a disposición de sus usuarios cuatro boletines de seguridad con información de otras tantas vulnerabilidades y sus respectivos parches para corregirlas. Ninguno de ellos es catalogado como crítico. ...
Vulnerabilidades y actualización para FTGatePro
Según se ha publicado en http://www.infowarfare.dk/Advisories/iw-16-advisory.txt, se encuentra disponible una nueva actualización de FTGate Pro que viene a corregir dos vulnerabilidades por desbordamiento de buffer en el servidor de correo....
Desarrolladores chilenos lanzan LinuXP
La versión de este sistema operativo pretende acercar al usuario de PC a un entorno amigable y conocido, presentando un menú de opciones enfocadas al uso cotidiano de un computador en el ambiente empresarial y hogareño....
El ataque de la señora de la limpieza en Ubuntu y Debian Desktop
Con este simpático nombre han bautizado los chicos de PING Labs a un ataque que afecta a Ubuntu y Debian –y posiblemente a muchas otras distribuciones de GNU/Linux. Este ataque permitiría acceder sin problemas a las sesiones bloqueadas con un sal...
GNU/Linux es el futuro, dice un ex-empleado de Microsoft
Keith Curtis ingresó a Microsoft en 1993 para incorporarse al equipo de Microsoft Word, en esos años el equipo tenía sólo 20 personas, la misma cantidad que hoy en día Sun mantiene trabajando para OpenOffice completo. Tras retirarse de la compa...
Los «hackers», por una nueva ética de trabajo
Los «hackers», por una nueva ética de trabajo ...
Linux se prepara para ir al espacio!!!!
En una reciente publicación http://saturn.jpl.nasa.gov/news/press-releases-03/20030425-ws-a.cfm ha indicado que el software principal para este proye...
Nueva versión del Mydoom, esta vez MYDOOM.F
Nueva variante del Mydoom reportado en las últimas horas del 19 de febrero, que se propaga a través del correo electrónico y unidades de red compartidas. Utiliza asuntos, textos y nombres de adjuntos variables, y un remitente siempre falso, por lo...
NUEVO SERVIDOR COUNTER STRIKE / Clan [MX]
El Team Xombra (Filial AWVEN, c.a.), junto con PHP Venezuela, (Filial AWVEN, c.a.) Venehosting (Filial AW...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataque
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mac
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • usuarios
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra